Главная страница | Контакты | Случайная страница Автомобили Астрономия Биология География Дом и сад Другие языки Другое Информатика История Культура Литература Логика Математика Медицина Металлургия Механика Образование Охрана труда Педагогика Политика Право Психология Религия Риторика Социология Спорт Строительство Технология Туризм Физика Философия Финансы Химия Черчение Экология Экономика Электроника

Вступ. Огляд найбільш важливих стандартів і специфікацій в галузі інформаційної безпеки

Модуль 3

МІЖНАРОДНА СТАНДАРТИЗАЦІЯ У ГАЛУЗІ УПРАВЛІННЯ ІНФОРМАЦІЙНОЮ БЕЗПЕКОЮ

Тема 3.1.

Вступ. Огляд найбільш важливих стандартів і специфікацій в галузі інформаційної безпеки

Вступ

Сучасні глобальні та інтегральні процеси в сфері інформатизації викликають велику кількість змін у функціонуванні суспільних об’єктів інформаційної діяльності. Це в свою чергу призводить до зміни якості обслуговування, ефективності промисловості та загальної оптимізації структури народного господарства. Маючи реальні здатності та можливості впливати на хід розвитку кожної країни, світу загалом, основні положення і принципи обігу інформації (у тому числі і конфіденційної) повинні бути регламентовані та затверджені на законодавчому рівні у вигляді Державних стандартів України (ДСТУ) та нормативних документів (НД).

Ключовим аспектом забезпечення властивостей інформації кожної держави є створення надійної інфраструктури, що реалізує обмін та обробку конфіденційної інформації, яка залежить від якості організованості інформаційної безпеки.

Розвиток інформаційних і телекомунікаційних систем різного призначення (в першу чергу мережі Інтернет), а також електронний обмін цінною інформацією, яка потребує захисту, зажадали від фахівців, що працюють у цій сфері, систематизувати та впорядкувати основні вимоги і характеристики комп'ютерних систем в частині забезпечення безпеки. Однак перед тим, як перейти до розгляду сформованих стандартів, потрібно визначити, що ж таке безпека.

Враховуючи важливість поняття, спробуємо сформулювати його розширене визначення, в якому будуть враховані останні міжнародні та вітчизняні напрацювання в цій галузі. Отже, безпека інформації - це стан стійкості даних до випадкових або навмисних впливів, що виключає неприпустимі ризики їх знищення, спотворення і розкриття, які призводять до матеріальних збитків власника або користувача. Таке визначення найбільш повно враховує головне призначення комерційної інформаційної комп'ютерної системи - мінімізація фінансових втрат, отримання максимального прибутку в умові реальних ризиків.

Це положення особливо актуально для так званих відкритих систем загального користування, які обробляють закриту інформацію обмеженого доступу, що не містить державну таємницю. Сьогодні системи такого типу стрімко розвиваються і в світі, і у нас в країні.

Актуальність. З огляду на зв’язок між інформаційним простором і систематизованим підходом використання даних, проблема безпеки інформації займає головне місце у нормотворчих документах з інформаційних технологій Міжнародної Організації по Стандартизації (ISO – International Organization for Standardization).

1. Роль стандартів інформаційної безпеки

Головним завданням стандартів безпеки є створення основи для взаємодії між виробниками, споживачами та експертами з кваліфікації продуктів інформаційних технологій.

Споживачі зацікавлені методикою, що дозволяє обґрунтовано вибрати продукт, що відповідає їх потребам. Для цього їм необхідна шкала оцінки безпеки.

До того ж споживачі мають потребу в інструменті, за допомогою якого вони могли б формулювати свої вимоги виробникам. При цьому споживачів цікавлять лише характеристики та властивості кінцевого продукту, а не методи його отримання.

Виробникам стандарти необхідні в якості засобу порівняння можливостей їх продуктів. Крім того стандарти необхідні для процедури сертифікації, яка є механізмом об'єктивної оцінки властивостей продуктів. З цієї точки зору вимоги повинні бути максимально конкретними і регламентувати необхідність застосування тих чи інших засобів, механізмів, алгоритмів і т.д.

Крім того, вимоги не повинні суперечити існуючим парадигм обробки інформації, архітектурі обчислювальних систем та технологій створення інформаційних продуктів.

Експерти по кваліфікації і фахівці з сертифікації розглядають стандарти як інструмент, що дозволяє їм оцінити рівень безпеки, що забезпечується продуктами інформаційних технологій, і надати споживачам можливість зробити обґрунтований вибір, а виробникам - отримати об'єктивну оцінку можливостей свого продукту.

Найбільш значущими стандартами інформаційної безпеки є: «Критерії безпеки комп'ютерних систем міністерства оборони США», керівні документи Держтехкомісії Росії, «Європейські критерії безпеки інформаційних технологій», «Федеральні критерії безпеки інформаційних технологій США», «Канадські критерії безпеки комп'ютерних систем» і «Єдині критерії безпеки інформаційних технологій».

безпека стандарт ризик

У відповідності з міжнародними і національними стандартами забезпечення інформаційної безпеки в будь-якій організації припускає:

· визначення цілей забезпечення інформаційної безпеки,

· створення ефективної системи управління інформаційною безпекою,

· розрахунок сукупності якісних і кількісних показників для оцінки інформаційної безпеки,

· застосування інструментарію забезпечення та оцінки поточного стану і використання методик управління безпекою, що дозволяють об’єктивно оцінити захищеність інформаційних активів й управляти інформаційною безпекою компанії.

Найбільш відомі міжнародні стандарти в області захисту інформації:

· ISO 15408,

· ISO 17799

· основні стандарти серії ISO 27000.